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5 L'invention a pour objet un procede destine a assurer un controle 

d'acces pour et/ou vis-a-vis d'utilisateurs qui accedent a un reseau 
informatique, tel que notamment, le reseau Internet, par I'intermediaire d'un 
noeud d'acces prive, afin de realiser des echanges d'informations au moyen de 
terminaux. Elle concerne aussi divers agencements organises pour permettre 

10 la mise en oeuvre du procede selon l'invention. 

D'une maniere plus particuliere, l'invention est destinee a etre 
exploitee par des organisations et notamment des entreprises ou des 
utilisateurs sont equipes de terminaux qui leur permettent d'acceder a un 
reseau informatique et en particulier a un reseau informatique externe a 

15 I'organisation dont ils dependent, tel le reseau Internet, cet acces s'effectuant 
par I'intermediaire d'un noeud d'acces prive, au moins partiellement reserve a 
cette organisation. 

Tel est par exemple le cas, lorsqu'une organisation dispose d'une 
structure interne de communications et par exemple d'un reseau de 

20 communications, cable ou non, incluant au moins un noeud d'acces, tel que 
defini ci-dessus, par I'intermediaire duquel il est prevu que s'effectuent les 
acces des utilisateurs qui sont realises a partir de terminaux propres a 
I'organisation. Ce noeud d'acces est, par exemple, un PABX et en particulier un 
PABX multimedia dont dispose une organisation pour ses communications, ou 

25 encore une structure privee, de type passerelle, d'acces pour un reseau local, 
de type LAN. 

Pour differentes raisons et en particulier pour des raisons 
economiques, il est important pour une organisation de pouvoir verifier que 
les possibilites d'acces qu'elle offre a un reseau informatique et en particulier 

30 au reseau Internet, sont exploitees d'une maniere appropriee lui evitant en 
particulier des couts ou surcouts qu'elle n'a pas vocation de supporter, ainsi 
que des risques materiels ou financiers injustices. 

Une solution de controle d'acces connue, derivant de ce qui etait 
anterieurement prevu en matiere de telephonie, consiste a interdire certains 

35 acces aux utilisateurs, lorsqu'ils exploitent des terminaux propres a une 
organisation. II est ainsi possible d'empecher I'acces a certains sites d'un 



in niiiiiiiii 1 1 



2 

reseau informatique ou a certains types d'information a partir cles terminaux 
d'une organisation, en agissant aux moyens de filtres appropries, par exemple 
au niveau d'une unite rempart ou "firewall" situee entre le reseau informatique 
et le noeud d'acces exploite par les terminaux pour acceder d ce reseau 
5 informatique. 

Toutefois cette solution n'est pas vraiment satisfaisante, dans la 
mesure ou elle implique une mise a jour permanente des interdictions qui est 
difficile a realiser, lorsque les acces sont diriges vers des sites d'un reseau 
evoluant en permanence comme Test le reseau Internet, connaissant les 

10 possibilites de re-aiguillage entre sites qu'autorise ce genre de reseau. De 
plus, le filtrage prealable ne s'effectue que dans des conditions 
predetermines et reste sans effet autrement, ce qui implique qu'il soit 
regulierement reactualise pour etre capable de s'adapter aux evolutions 
techniques. Les risques encourus par une organisation du fait de ce qu'elle 

15 reqoit de I'exterieur, suite d des demandes d'acces effectuees par 
I'intermediaire des terminaux qui lui sont propres, ne peuvent done etre reduits 
de maniere suffisamment satisfaisante. 

L'invention propose done un procede destine d assurer un controle 
d'acces pour et/ou vis-d-vis d'utilisateurs qui accedent d un reseau 

20 informatique permettant des echanges d'informations, tel que notamment, le 
reseau Internet, au moyen de terminaux, par I'intermediaire d'un noeud 
d'acces prive, partage ou propre d une organisation, telle qu'une entreprise, 
auquel les terminaux se raccordent pour leurs acces au reseau informatique, 
via un serveur d'acces. 

25 Selon une caracteristique de l'invention, ce procede prevoit un 

stockage temporaire, d des fins de filtrage aval, du flot de donnees 
multimedia reques du reseau informatique d destination d'un terminal 
d'utilisateur suite d une requete d'acces formulee d partir de ce terminal, le 
filtrage aval etant realise par I'intermediaire d'un agencement permettant 

30 d'autoriser ou de bloquer la transmission de ce flot vers le terminal en fonction 
de criteres determines. 

Selon l'invention, le procede prevoit que les donnees regues du reseau 
informatique sont temporairement stockees avant d'etre transmises ou non au 
terminal utilisateur, selon les resultats d'une analyse. 

35 Selon l'invention, le procede prevoit de conserver les donnees reques 

du reseau informatique qui ne sont pas transmises, apres une analyse ayant 
conduit d une decision de non transmission d I'utilisateur, pour pouvoir 
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comparer ces donnees a des donnees d'un flot ulterieur, de maniere a 
accelerer la prise de decision, en cas d'identite des donnees entre flots pour 
un ensemble determine de donnees, sans avoir a recourir a une analyse 
correspondent a celle qui avait conduit a ce que les donnees conservees ne 
5 soient pas transmises. 

Selon une forme de mise en oeuvre du procede selon I'invention, il est 
prevu que le transfert de donnees reques du reseau informatique a destination 
d'un terminal d'utilisateur est temporairement retarde au niveau de moyens de 
stockage temporaire, jusqu'd determination de la conformite de ce qui a 6te 

10 requ par rapport a des normes determinees, avant transmission au terminal si 
la conformite est constatee. 

II est aussi prevu de conserver les donnees temporairement retardees 
relatives a un flot, qui sont stockees en phase de determination de conformite, 
pour permettre un controle complementaire en cas de non-conformite, cette 

15 conservation etant realisee soit pour les donnees regues, d detection de la 
non-conformite, le flot qui les transmet depuis le reseau informatique etant 
alors interrompu, soit eventuellement pour I'ensemble de donnees regues sans 
que soit interrompu le flot. 

II est egalement prevu de conserver les donnees pour lesquelles une 

20 non-conformite a ete detectee dans un flot requ et/ou I'origine de ces 
donnees, de maniere a permettre une interruption d'un flot de donnees 
ulterieurement regu avant analyse complete des donnees que ce flot transmet, 
lorsque de telles donnees et/ou une telle origine sont a nouveau detectees. 

Selon I'invention, le procede prevoit une comptabilisation, a des fins 

25 de controle, sur la base d'un contenu determine d'informations constitue par 
une combinaison caracteristique de donnees, lorsqu'un tel contenu est present 
dans les donnees qui sont temporairement stockees dpres avoir ete regues du 
reseau informatique dans le cadre d'un ou de plusieurs flots destines chacun d 
un terminal determine. 

30 Selon une autre forme de mise en oeuvre du procede selon I'invention, 

il est prevu une analyse de signatures pour permettre de bloquer, au moins 
temporairement, la transmission de donnees regues du reseau d destination 
d'un terminal d'un utilisateur, lorsque ces donnees incorporent une signature 
caracteristique de signalisation de droits restrictifs. 

35 || est aussi prevu une analyse de type recherche d'identifiant au niveau 

des donnees regues d destination d'un terminal d'un utilisateur, de maniere d 
autoriser la transmission de ces donnees d ce terminal, lorsqu'un ou plusieurs 
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identifiants determines sont trouves parmi les donnees regues qui sont 
destinees a ce terminal. 

L'invention propose aussi un agencement destine a assurer un 
controle d'acces pour et/ou vis-a-vis d'utilisateurs qui accedent a un reseau 
5 informatique permettant des echanges d'informations, notamment au reseau 
Internet, au moyen de terminaux, par I'intermediaire d'un noeud d'acces prive, 
partage ou propre a une organisation, telle qu'une entreprise, auquel les 
terminaux se raccordent pour leurs acces au reseau informatique, via un 
fournisseur de services. 
10 Selon ('invention, cet agencement comporte des moyens materiels 

et/ou logiciels, notamment de type produits logiciels, organises pour 
permettre la mise en oeuvre du procede, tel que defini ci-dessus. 

Selon une forme particuliere de realisation, I'agencement, selon 
l'invention, est un equipement monte en amont ou en entree d'u noeud de 
15 reseau de communication et par exemple d'un commutateur, de type PBX. 

L'invention, ses caracteristiques et ses avantages sont precises dans la 
description qui suit en liaison avec les figures evoquees ci-dessous. 

La figure 1 presente un schema de principe relatif au controle d'acces 
au reseau Internet d partir de terminaux d'utilisateurs et au travers d'un noeud 
c 20 d'acces prive. 

La figure 2 presente un schema d'un agencement de controle d'acces, 
selon l'invention. 

Le procede de controle d'acces, selon l'invention est destine a etre mis 
en oeuvre dans le cadre d'un systeme ou des terminaux sont mis d disposition 

25 d'utilisateurs au niveau d'une organisation, telle qu'une entreprise, afin de leur 
permettre, en particulier, d'acceder d un reseau informatique, tel qu'lnternet 
permettant des echanges d'informations diverses, telles que des informations 
multimedia se transmettant sous forme de donnees numeriques. II est plus 
particulierement prevu que I'acces des terminaux au reseau informatique 

30 s'effectue par I'intermediaire d'un noeud d'acces prive relie au reseau par 
I'intermediaire d'au moins un fournisseur de service, qui est couramment 
designe par I'acronyme ISP (Internet Service Provider) dans le cas d'un reseau 
Internet. 

Ceci est schematise au niveau de la figure 1 ou sont symbolises deux 
35 types de terminaux susceptibles d'etre mis d disposition des utilisateurs dans 
une organisation determinee. Les terminaux 1 sont, par exemple, des 
ordinateurs relies par des liaisons filaires d un noeud d'acces 2, les terminaux 



1' sont, par exemple, des terminaux informatiques communiquant par voie 
radio avec le naeud d'acces 2, alors dote de moyens d'emission-reception, ici 
symbolises par une antenne 3. 

Le naeud d'acces 2 est susceptible d'etre constitue de differentes 
5 manieres en fonction des besoins. Quelle que soit I'option choisie, il dispose 
d'une fonction de routage pour permettre aux terminaux, tels que 1 ou I 1 , 
qu'utilisent les utilisateurs pour acceder a un reseau informatique 3, ici 
considere comme etant le reseau Internet. II est relie a un serveur 4 d'un 
fournisseur de sen/ices de ce reseau, tel un serveur ISP par I'intermediaire 

10 d'une liaison de transmission L. 

Le noeud d'acces 2 est, par exemple, un commutateur numerique, du 
type PABX, exploite pour la desserte de terminaux filaires et/ou eventuellement 
radio d'une installation de telecommunications privee propre a une 
organisation, telle qu'une societe, ce commutateur etant dote de moyens de 

15 routage lui permettant de communiquer en mode paquet avec un serveur ISP 
d'un fournisseur de services Internet. Ce serveur agit en tant qu'intermediaire 
vis-a-vis des terminaux susceptibles d'acceder au reseau Internet que 
comporte ('installation de telecommunications. Le naeud d'acces 2 peut aussi 
etre une unite de type passerelle, dotee d'une fonction de routage et agissant 

20 en tant qu'interface vis-a-vis de terminaux, susceptibles d'acceder au reseau 
Internet, qui sont comportes par un reseau local, tel que par exemple un 
reseau LAN (Local area network). 

Selon I'invention, il est prevu un agencement de filtrage d'amont ou 
d'entree 5 destine a controler les donnees transmises en retour par le reseau 

25 informatique 3, via le serveur 4, d destination de tout terminal 1 ou V ayant 
effectue une demande d'acces au reseau 3. Suivant les configurations prevues 
en liaison avec les types d'exploitation possibles, cet agencement de filtrage 5 
est susceptible d'etre un equipement localise au niveau du noeud d'acces 2 ou 
du serveur 4, voire de constituer une unite separee. Quel que soit le cas, il est 

30 positionne en amont ou en entree pour pouvoir intercepter toutes les 
informations, d destination des terminaux que dessert le noeud d'acces, qui 
sont transmises depuis le reseau informatique 3, via le serveur 4, suite aux 
demandes d'acces au reseau effectuees par ces terminaux, comme symbolise 
sur la figure 1 . 

35 L'agencement de filtrage 5 est suppose plus ou moins directement lie 

aux logiques programmees de commande 6 d'au moins I'un des sous- 
ensembles que constituent le noeud d'acces 2 et le serveur 4, dans Tun ou 
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Pautre desquels il peut eventuellement etre inclus. Comme indique plus haut 
un noeud d'acces 2, prive, peut etre un noeud propre a une organisation 
determinee qui I'exploite pour ses besoins, ce peut aussi etre un noeud partage 
par plusieurs organisations et par exemple mise a disposition par une 
5 entreprise specialisee. 

Le procede de controle d'acces, selon I'invention, est prevu pour 
n'intervenir qu'au niveau du trafic en retour destine aux terminaux du noeud 
d'acces 2 ou il s'applique, etant entendu qu'il peut bien entendu etre prevu 
pour agir au niveau de plus d'un noeud d'acces et en liaison avec plus d'un 

10 serveur au profit d'une meme organisation, telle qu'envisagee plus haut, 
Pexemple schematique donne en liaison avec la figure 1 ne devant pas etre 
considere comme limitatif. 

Ce procede de controle n'intervient pas lors de I'etablissement d'une 
connexion d'un terminal 1 ou I 1 , avec le serveur 4 d'un fournisseur de services 

15 et via le noeud d'acces 2, dans le cadre d'une demande d'acces au reseau 
informatique 3 effectuee par ce terminal. Comme connu, la logique 
programmee de commande du noeud d'acces comporte des moyens de 
stockage d'information lui permettant de conserver les informations qui sont 
necessaires a la fonction de routage qu'elle comporte pour diriger le flot de 

20 donnees provenant du reseau informatique, suite a une demande d'acces 
qu'un terminal a effectue. L'agencement permettant la mise en oeuvre du 
procede, selon I'invention, peut eventuellement etre associe a un dispositif 
rempart, de type "firewall" permettant d'interdire I'envoi de requetes 
determinees par les terminaux d destination du reseau informatique et de 

25 bloquer Pacces de donnees provenant de sites determines et/ou d'un type 
predetermine. 

Selon I'invention, il est prevu qu'un stockage temporaire des donnees, 
transmises depuis le reseau informatique vers un terminal, soit effectue avant 
transmission de ces informations au terminal. Comme indique plus haut, ce 
30 stockage temporaire peut s'effectuer a differents niveaux de I'ensemble 
incluant le ou les serveur(s) 4 et le noeud 2 de desserte du terminal 1 ou V 
considere. 

Dans Pexemple schematique de realisation illustre sur la figure 2, il est 
prevu un sous-ensemble de stockage temporaire de donnees 7 relie a la 
35 liaison de transmission L au niveau du noeud d'acces 2 qui regoit les donnees 
parvenant du reseau informatique 3, par cette liaison L, a destination des 
terminaux alors connectes a ce reseau. Comme suppose ci-dessus, ce sous- 




ensemble de stockage 7 peut eventuellement etre positionne au niveau du 
serveur par I'intermediaire duquel les donnees provenant du reseau sont 
fournies au noeud d'acces, notamment si tous les acces a partir des terminaux 
desservis par le noeud s'effectuent au travers du meme serveur. Les donnees 
5 multimedias requs par flots du reseau informatique par I'intermediaire de la 
liaison L transient par le sous-ensemble de stockage temporaire 7 avant 
d'etre transmises via une interface de distribution 8 aux terminaux qui en sont 
les destinataires. Ce dispositif de stockage temporaire est par exemple 
constitue d'une ou de plusieurs unites de stockage de type disque dur. 

10 Un processus de filtrage est alors realise, par I'intermediaire d'une 

logique de filtrage et d'analyse, au niveau des donnees propres a chacun des 
flots re^us qui sont temporairement presentes dans le dispositif de stockage 7. 
Cette logique est ici supposee incluse dans la logique de commande 6 qui 
controle le noeud 2 et, en particulier, I'interface de distribution 8 et ('interface 

15 de concentration 9 permettant de regrouper les flots de donnees emanant des 
terminaux a destination du serveur pour .transmission via la liaison. Les 
filtrages realises peuvent etre specifiquement adaptes aux besoins d'une 
organisation cliente et/ou exploitante pour lui permettre de controler 
I'exploitation des moyens d'acces au reseau informatique 1 qu'elle met a 

20 disposition des utilisateurs, par I'intermediaire des terminaux qu'elle leur 
attribue. 

Suite d une demande d'acces au reseau informatique librement 
effectuee par un utilisateur au moyen d'un terminal et au travers d'un noeud 
d'acces equipe d'un agencement de controle prevu pour permettre la mise en 

25 oeuvre du precede, selon I'invention, il est done effectue un travail d'analyse 
sur le flot de donnees qui est requ a destination du terminal utilise par 
i'utilisateur, au niveau du dispositif de stockage temporaire 7 ou ce flot est 
envoye. Les moyens d'analyse et de filtrage susceptibles d'etre exploites sont 
par exemple choisis parmi les moyens deja connus de I'homme de metier ou 

30 specifiquement realises, ils permettent par exemple de rechercher un contenu 
determine d'information dans la totalite ou dans certaines parties specifiques 
d'un flot regu 6 destination d'un terminal. Cette recherche peut etre effectuee 
de maniere systematique ou ponctuelle au niveau d'un flot, par exemple au fil 
de I'eau, ou periodiquement. Elle peut aussi s'effectuer dans le cadre de 

35 configurations particulieres, par exemple lorsque le nombre d'acces 
simultanement actifs est grand ou lorsque certains terminaux ou certaines 
informations regues sont prioritaires. Le stockage temporaire de tout ou partie 
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d'un flot regu ne s'effectue normalement que le temps necessaire a I'analyse, il 
n'est done pas detectable par I'utilisateur dans ces conditions et en particulier 
lorsque les donnees destinees a un utilisateur constituent un ensemble dont le 
volume est important. En effet le temps necessite pour Panalyse est 
5 generalement tres inferieur au temps necessaire a la transmission de cet 
ensemble de donnees depuis le reseau informatique jusqu'au noeud d'acces 
au travers de la liaison L, dans les conditions actuelles. Si le processus 
d'analyse s'avere efficace et revele que I'un des criteres de filtrage choisi se 
retrouve au niveau des donnees regues dans le cadre d'un flot destine a un 

10 utilisateur, une decision est prise par Pintermediaire de la logique de 
commande concernee. Cette decision conduit par exemple a une decision de 
non transmission qui conduit a bloquer la transmission du flot vers le terminal 
destinataire, en particulier, s'il est craint que ce qui est regu presente un 
certain danger ou contient des informations dont la communication n'est pas 

15 admise, selon les criteres de ['organisation cliente et/ou exploitante. Le 
blocage peut s'accompagner d'une interruption du flot de donnees regues, sur 
initiative locale, notamment en cas de donnees susceptibles de constituer un 
risque au niveau des terminaux, du noeud et/eventuellement du serveur. Un 
blocage peut ne pas etre accompagne par une interruption du flot de donnees 

20 regues, dans certains cas, en particulier, s'il existe un doute susceptible d'etre 
leve sur la legitimate de la transmission du contenu que constituent des 
donnees regues, a I'utilisateur qui les a requises. Les donnees regues peuvent 
alors etre temporairement stockees jusqu'a ce que I'ensemble, par exemple de 
type fichier, qu'elles forment soit entierement regu. La transmission de cet 

25 ensemble peut alors etre retardee temporairement jusqu'au moment ou une 
decision concernant la legitimite est atteinte, eventuellement apres intervention 
humaine, et ou la transmission peut, soit etre effectuee vers I'utilisateur, soit 
definitivement bloquee. Le controle de legitimite s'effectue par exemple selon 
des normes predeterminees applicables dans des conditions determinees, via 

30 la logique de commande. II est aussi prevu que dans certaines conditions et 
notamment en raison de priorites preetablies, la transmission de certains 
contenus soit retardee au profit de contenus consideres comme prioritaires, ou 
eventuellement qu'elle soit suspendue, sur decision locale au niveau du noeud 
ou du serveur, par interruption volontaire des flots exploites pour leur 

35 transmission. 

Dans une forme de mise en oeuvre du procede, il est prevu de 
conserver des donnees regues du reseau informatique qui ne sont pas 
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transmises d un utilisateur, apres une analyse ayant conduit d une decision de 
non transmission, de maniere d pouvoir exploiter ces donnees pour accelerer 
la prise de decision si ces donnees sont d nouveau regues dans un flot 
ulterieur, sans avoir recours d une nouvelle analyse pour ces donnees regues 
5 d nouveau. Une decision peut alors etre prise pour un flot nouvellement 
entrant en cas d'identite d'un ensemble selectionne de donnees nouvellement 
revues avec un ensemble determine de donnees stockees. II est aussi prevu de 
conserver les informations qui sont relatives d I'origine d'un flot de donnees et 
qui figurent dans ce flot pour pouvoir egalement les exploiter si elles sont 

10 trouvees d nouveau dans un flot ulterieur de maniere d permettre une 
interruption de ce flot ulterieur avant que les donnees qu'ils comportent ne 
soient entierement analysees, si cela est justifie. 

Dans une variante de mise en oeuvre, il est prevu de temporairement 
retarder le transfert de donnees regues du reseau informatique d destination 

15 d'un terminal destinataire, au niveau de moyens de stockage temporaire, 
jusqu'd determination de la conformite de ce qui a ete requ, par rapport d des 
normes determinees. II est egalement prevu de conserver les donnees qui sont 
stockees en phase de determination de conformite pour un flot donne, afin de 
permettre un controle complementaire en cas de non-conformite. Cette 

20 conservation concerne par exemple les donnees revues pour un flot jusqu'au 
moment ou la non-conformite a ete detectee. Elle peut aussi etre realisee pour 
I'ensemble des donnees regues par I'intermediaire d'un flot, sans que ce flot ne 
soit interrompu. 

Le controle de contenu qui est susceptible d'etre realise dans le cadre 
25 du procede de controle d'acces, selon Pinvention, peut aussi etre exploite d 
d'autres fins que I'autorisation de la transmission, au fil de Peau ou avec un 
retard controle, des donnees transmises du reseau informatique vers un 
terminal ayant etabli un acces avec ce reseau par I'intermediaire du noeud 
d'acces et d'un serveur. II est par exemple possible d'effectuer un filtrage relatif 
30 d des donnees caracteristiques d'un contenu determine d'informations, par 
exemple un type de fichier determine, en particulier, d des fins de 
comptabilisation du nombre de fois ou ce groupe de donnees caracteristiques 
d'un contenu determine est regu au niveau du noeud, d des fins de controle de 
trafic et/ou encore de controle sur le plan des couts, dans le cas de contenus 
35 factures. 

II est egalement prevu de doter Pagencement de controle de moyens 
essentiellement logiciels lui permettant d'effectuer des operations d'analyse de 
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signature sur les donnees d'un flot re^u du reseau, de maniere a pouvoir 
bloquer, soit temporairement, soit encore definitivement, la transmission de 
donnees a un terminal destinataire, si ces donnees incorporent une signature 
caracteristique. Comme il est connu une telle signature peut par exemple 
5 signaler Pexistence de droits restrictifs concernant I'exploitation des donnees 
qu f elle accompagne. Telle est notamment le cas des signatures SDMI (Secure 
Digital Music Initiative) destinees a accompagner des donnees constituant 
certains fichiers multimedia. 

II est alternativement prevu de faire realiser des operations d'analyse a 

10 des fins de recherche d'identifiant en vue d'autoriser la transmission de 
donnees regues du reseau informatique dans le cadre d'un flot, si ces donnees 
contiennent un ou eventuellement plusieurs identifiants determines. Un tel 
identifiant est par exemple introduit a la creation d'un ensemble de donnees, 
tel un fichier, destine a etre transmis dans le but d'authentifier la source de cet 

15 ensemble. Dans la forme de realisation envisagee ici, sa reconnaissance a la 
reception, au niveau d'un agencement de controle d'acces selon ('invention, est 
utilisee pour autoriser et eventuellement declencher la transmission de 
Pensemble de donnees requ qu'il accompagne, au terminal destinataire. 

Comme indique, plus haut la mise en oeuvre du procede, selon 

20 Pinvention implique la mise en oeuvre de moyens materiels et logiciels 
appropries agences d'une maniere adaptee a I'installation de communication 
qu'ils equipent. Ces moyens ne seront pas developpes plus avant ici, dans la 
mesure ou ils sont connus par ailleurs de I'homme de metier. L'agencement 
lui-meme est par exemple constitue sous la forme d'un equipement destine a 

25 etre place en entree ou eventuellement en amont du noeud de reseau de 
communication de maniere a controler les donnees qui sont fournies a ce 
noeud a destination des terminaux d'usager desservis par ce noeud. 
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KEVEMDOCATOOliSflS 

H. Procede destine a assurer un controle d'acces pour et/ou vis-a-vis 
d'utilisateurs qui accedent a un reseau informatique (3) permettant des 
echanges d'informations, notamment au reseau Internet, au moyen de 
5 terminaux (1 ou V), par I'intermediaire d'un nceud d'acces (2) prive, 
partage ou propre a une organisation, telle qu'une entreprise, auquel les 
terminaux se raccordent pour leurs acces au reseau informatique, via un 
serveur d'acces (4), caracterise en ce qu'il prevoit un stockage temporaire 
a des fins de filtrage aval du flot de donnees multimedia regues du reseau 
10 informatique a destination d'un terminal d'utilisateur suite a une requete 

d'acces formulee a partir de ce terminal, le filtrage aval etant notamment 
realise par I'intermediaire d'un agencement (5) pour autoriser ou bloquer 
la transmission de ce flot vers le terminal en fonction de criteres 
determines. 

15 2o Procede, selon la revendication 1, dans lequel les donnees regues du 
reseau informatique sont temporairement stockees avant d'etre transmises 
ou non au terminal utilisateur, selon les resultats d'une analyse. 
3- Procede, selon la revendication 2, dans lequel il est prevu de conserver les 
donnees reques du reseau informatique qui ne sont pas transmises, apres 

20 une analyse ayant conduit a une decision de non transmission a 

I'utilisateur, pour pouvoir comparer ces donnees d des donnees d'un flot 
ulterieur, de maniere a accelerer la prise de decision, en cas d'identite des 
donnees entre flots pour un ensemble determine de donnees, sans avoir a 
recourir a une analyse correspondent d celle qui avait conduit d ce que 

25 les donnees conservees ne soient pas transmises. 

4o Procede, selon I'une des revendications 1, 2, dans lequel le transfert de 
donnees reques du reseau informatique d destination d'un terminal 
d'utilisateur est temporairement retarde au niveau de moyens de stockage 
temporaire, jusqu'd determination de la conformite de ce qui a ete regu, 

30 par rapport d des normes determinees, avant transmission au terminal, si 

la conformite est constatee. 
5o Procede, selon la revendication 4, dans lequel il est prevu de conserver les 
donnees temporairement retardees relatives d un flot, qui sont stockees en 
phase de determination de conformite, pour permettre un controle 

35 complementaire en cas de non-conformite, cette conservation etant 

realisee soit pour les donnees revues, d detection de la non-conformite, le 
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flot qui les transmet depuis le reseau informatique etant alors interrompu, 
soit eventuellement pour I'ensemble de donnees revues, sans que soit 
interrompu le flot. 

6. Procede, selon la revendication 4, dans lequel il est prevu de conserver les 
5 donnees pour lesquelles une non-conformite a ete detectee dans un flot 

requ et/ou I'origine de ces donnees de maniere d permettre une 
interruption d'un flot de donnees ulterieurement requ avant analyse 
complete des donnees que ce flot transmet, lorsque de telles donnees 
et/ou une telle origine sont d nouveau detectees dans ce flot 
10 ulterieurement requ. 

7. Procede, selon la revendication 1, dans lequel il est prevu une 
comptabilisation, d des fins de controle, sur la base d'un contenu 
determine d'informations, constitue par une combinaison caracteristique 
de donnees, lorsque ce contenu est trouve present dans les donnees qui 

15 sont temporairement stockees, apres avoir ete regues du reseau 

informatique, par I'intermediaire d'au moins un flot destine d un terminal 
determine. 

8. Procede, selon la revendication 2, dans lequel il est prevu une analyse de 
signatures pour permettre de bloquer, au moins temporairement, la 

20 transmission de donnees reques du reseau d destination d'un terminal 
d'un utilisateur, lorsque ces donnees incorporent une signature 
caracteristique de signalisation de droits restrictifs. 

9. Procede, selon la revendication 2, dans lequel il est prevu une analyse de 
type recherche d'identifiant au niveau des donnees reques d destination 

25 d'un terminal d'un utilisateur, de maniere d autoriser la transmission de 

ces donnees d ce terminal, lorsqu'un ou plusieurs identifiants determines 
sont trouves parmi les donnees regues qui sont destinees d ce terminal. 

10. Agencement destine d assurer un controle d'acces pour et/ou vis-d-vis 
d'utilisateurs qui accedent d un reseau informatique permettant des 

30 echanges d'informations, notamment au reseau Internet, au moyen de 

terminaux, par I'intermediaire d'un noeud d'acces prive, portage ou propre 
d une organisation, telle qu'une entreprise, auquel les terminaux se 
raccordent pour leurs acces au reseau informatique, via un fournisseur de 
services, caracterise en ce qu'il comporte des moyens materiels (7) et/ou 

35 produits logiciels organises pour permettre la mise en oeuvre du procede 

tel que defini dans I'une et/ou I'autre des revendications 1 d 9. 
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11. Agencement, notamment de type equipement, monte en amont ou en 
entree d'un noeud de reseau de communication, afin d'assurer un contrdle 
d'acces pour et/ou vis-a-vis d'utilisateurs qui accedent a un reseau 
informatique permettant des echanges d'informations, notamment au 
reseau Internet, au moyen de terminaux, par Pintermediaire d'un noeud 
d'acces prive, partage ou propre a une organisation, telle qu'une 
entreprise, auquel les terminaux se raccordent pour leurs acces au reseau 
informatique, via un fournisseur de services, caracterise en ce qu'il 
comporte des moyens materiels (7) et/ou logiciels organises pour 
permettre la mise en oeuvre du precede tel que defini dans Tune et/ou 
I'autre des revendications 1 d 9. 



1/1 



FIG. 1 




"46 



FIG. 2 



NCEUD 
D'ACCES 



terminal 



9 



\ 



terminal 



« 4 *' 



This Page Blank (uspto) 



